El departamento secreto de Google contra los fraudes

en

En una sala de conferencias nueve pisos por encima de la calle Giles High de Londres, un ingeniero ruso llamado Sasha arranca una computadora y comienza a dar instrucciones.

  • «El primer paso, abre alguna página web», ordenó.
  • «¿AdAge.com por ejemplo?» A medida que la página cargaba en el navegador, varias líneas de código corrieron por la pantalla en una ventana distinta a la izquierda. Después de unos segundos, Sasha explicó lo que estaba sucediendo.
  • «Me temo que cuando usted está trabajando con nuestro equipo, usted no debe visitar cualquier web», dijo. El equipo, a estrenar, ya estaba infectado. «Usted a participado en un botnet

En realidad, la conexión a Internet que estaban usando estaba hackeada, no era la web que visitaron. Visitar cualquier sitio en Internet habría infectado el ordenador. Pero Sasha parecía estar disfrutando de su malestar, y su trabajo apenas había comenzado.


El departamento secreto de Google sale a la luz

El departamento secreto sale a la luz
Sasha es uno de los miembro del equipo secreto antifraude de Google. La unidad, que suman más de 100 personas, está enfrascada en una guerra en contra de una cantidad desconocida de ciberdelincuentes que están desviando activamente miles de millones de dólares de la industria de la publicidad digital. Principalmente a través de la creación de tráfico robótico que parece humano. Resulta un departamento desconocido para muchos, incluso dentro de Google. El grupo nunca ha hablado con un extraño sobre los sistemas y técnicas que utilizan para la caza de botnets, y mucho menos permitido entrar a nadie a sus oficinas para observar cómo trabajan. Pero ese silencio terminó el momento en el que Sasha abrió su ordenador.
Para los empresarios y responsables de marketing digital, tanto grandes como pequeños, el fraude en la publicidad digital es un problema significativo y creciente. La inversión en publicidad para medios digitales está ya superando a la de la televisión y la impresión, y esto lo ha convertido en un terreno muy atractivo para algunos de los peores actores de Internet. Según un estudio realizado por la empresa antifraude White Ops y la Association of National Advertisers, se perdieron $6300 millones por culpa de estos fraudes durante 2015. Y Google, la mayor empresa de tecnología de publicidad del planeta, puede ser la principal afectada debido a la enorme cantidad de transacciones que se ejecutan a través de sus servidores de anuncios. Si los anunciantes dejaran de confiar en el servicio publicitario de Google, podrían tomar su dinero y largarse en busca de otras opciones.
La mejor estimación del dominio de Google en el mercado de la publicidad digital proviene de los analistas de Ghostery, una empresa tecnológica que monitorea etiquetas de anuncios en la web. En el mes de septiembre de 2013, la estimación más reciente disponible, Ghostery calculó que Google tuvo trescientos dieciséis mil millones de impresiones de anuncios. La siguiente empresa más grande, OpenX, tuvo ochenta y cuatro mil millones. Esta gran diferencia con su seguidor se traduce en que Google es la más expuesta cuando se trata de fraude, y además la convierte en la empresa que debe liderar la lucha contra este problema. Hasta ahora, la compañía se ha limitado a trabajar contra el fraude desde la oscuridad, pero es difícil avanzar y mejorar más en esta lucha desde la soledad y el anonimato. Esta es la principal razón por la que finalmente han decidido salir a la luz.

«Compartir nuestro punto de vista y nuestra posición sobre estos fraudes, nuestro nivel de inversión, es algo que creemos que va a ayudar al resto de la industria a largo plazo», dijo Neal Mohan, vicepresidente de Google-Vídeo y Displays.

La decisión de Google hizo que algunos periodistas decidieran visitar las oficinas de Google para charlar con Sasha y sus colegas, durante la primera apertura de puertas de una de las unidades más secretas e importantes de la web. Aunque casi cada palabra hablada estaba redactada con anterioridad, Sasha y varios de sus compañeros de los empleados de Google pidieron no ser mencionados por sus nombres de pila, diciendo que estaban preocupados por su seguridad. «Debido a que es parte de la delincuencia organizada, supongo que hay que mantener el anonimato de las personas que luchan contra ella», decía un miembro del equipo.


Infección

Luchadores contra el fraudeMientras Sasha trabajaba a través de dos monitores, la luz del sol inundaba la oficina a través de grandes ventanas con vistas al sur de Londres. Seis miembros del equipo antifraude se sentaron esparcidos por la habitación, que era accesible sólo a través de una puerta descomunal con un mango circular.
Sasha, hablando con un acento y un tono casi divertido, comenzó a inspeccionar el código del sitio AdAge.com (de nuevo, desde el equipo que fue manipulado manipulado mediante una conexión hackeada) hasta que encontró unas pocas líneas denominas «exploit». Se trata esencialmente de una clave que los hackers utilizan para desbloquear las computadoras.
Cuando un exploit abre la puerta a un ordenador, los operadores de malware pueden instalar programas para obtener el control total. Para un defraudador de publicidad digital, este control es puro oro. Le permite utilizar el ordenador para navegar por la web en ventanas ocultas, y lo más importante, hacerlo sin el conocimiento de su propietario.
Este fraude en los anuncios se lleva a cabo a través de computadoras personales. Es uno de los puntos más llamativos de las técnicas de estos hackers. Las máquinas personales hackeadas, llamadas drones, se combinan para formar botnets. Los botnets se podrían definir como manadas de computadoras zombies navegando por internet en una danza coordinada destinada a captar la mayor cantidad de euros de anunciantes como sea posible. Apoderarse de máquinas personales ayuda a los operadores de botnets a evitar ser detectados. Se diversifican sus direcciones IP y ubicaciones geográficas, enmascarando las cargas de tráfico que envían a través de Internet.
Los exploits pueden hacer su trabajo en los ordenadores infectados a través de distintos canales, incluso a través de redes Wi-Fi, anuncios que contengan código malicioso, routers domésticos infectados, correos electrónicos de spam y sitios web hackeados. En el caso del comienzo de este artículo el equipo de Google coló un exploit en el sitio Ad Age utilizando una conexión hackeada. Cuando te encuentras con uno de esta situación, el exploit puede desbloquear la máquina sin ninguna señal de que algo malo está ocurriendo. «Los usuarios normales no van a darse cuenta de que nada malo esté pasando», explicó Sasha.

Ni siquiera es necesario que el usuario haga clic para infectarse.

Aunque Sasha ya sabía y nos avisó que el equipo que estaba usando estaba infectado, no había forma de saberlo hasta que no abrió un programa llamado WinLister, que proporcionaba todos los detalles sobre las ventanas ocultas que no podíamos ver. Una vez allí, se encontró con una serie de ventanas de Internet Explorer, todas maximizadas y todas ocultas. Cuando Sasha hizo visibles las ventanas, apareció en la pantalla el cursor que mostraba los movimientos del ratón movido remotamente. Cuando Sasha quitó la mano del ratón, los cursores seguían moviéndose y haciendo clic en distintas zonas de las distintas webs abiertas. Esto despertó una serie de carcajadas en los periodistas presentes. Aunque seguramente se pueda considerar que no es un tema para nada gracioso.


El hombre araña

Para los defraudadores, hacer dinero con las máquinas infectadas es un proceso sencillo. Hay dos formas básicas de hacerlo:

  • Podrían vender el tráfico de bots a los editores, a través de una cadena de intermediarios, que calculan que pueden ganar más ingresos de los anuncios que el costo de este tipo de tráfico.
  • También podrían configurar su propio sitio web, enviar el tráfico allí y vender sus propios anuncios.

La fórmula para hacer dinero de botnets puede ser muy sencilla, pero su detección es todo lo contrario. Una cosa es saber lo que es un botnet, y otra muy distinta saber y distinguir si cada anuncio impreso se está mostrando a un ser humano o a algo completamente distinto.

Douglas de Jager, miembro del equipo de Google.
Douglas de Jager, miembro del equipo de Google.

Mientras que Sasha navegaba a través de distintas secuencias de comandos, Douglas de Jager, el hombre a cargo de la operación «Caza de botnets» de Google, se sentó en el fondo de la sala y observó con atención. Jager es un seguro, un hombre sin pelos en la lengua, sudafricano, que vendió su compañía especializada en combatir el fraude, Spider.io, a Google por una suma no revelada a principios 2014. Aunque todos los miembros del equipo permanecen en el equipo tras la compra, no hay duda de que él sigue siendo la voz cantante.
El señor Jager descubrió los males de Internet desde el principio, desde que nacieron. «Fuimos uno de los malos», bromeó. No del todo, pero podría haberlo sido. Su primera empresa, BytePlay, aprovechaba la información que los brokers almacenaban en portales web para sacar tajada. Su herramienta aprendía del comportamiento web de estos brokers y conseguía imitarlos. Cuando el equipo de BytePlay apreció el parecido de sus bot al comportamiento humano, rápidamente se dieron cuenta de su potencial para darle un malvado uso. Tras vender BytePlay, Jager decidió fundar Spider.io para combatir esos oscuros usos de la tecnología.

«Quería tratar de evitar que alguien en algún momento decidiera hacer un uso de esta tecnología para hacer cosas malas», dijo.

Spider.io era de siete personas cuando fue adquirida por Google. El acuerdo proporcionaba el acceso a la potencia de cálculo de Google, acelerando los procesos de la herramienta de forma espectacular. «Donde normalmente habría tardado un día para elaborar un informe sobre un trozo de tráfico, hoy se hace en tiempo real», explicaba Jager. También trajo un nuevo elemento a la labor del equipo: restricciones. El proyecto Spider debe mantenerse alejado del equipo de ventas de Google para evitar conflictos de intereses. El equipo de ventas, como te puedes imaginar, lo que necesita es el mayor número de visitas y clic posibles, mientras que el proyecto Spider tiene como objetivo filtrar y limpiar todos esos clic y visitas para conseguir datos reales y resultados en las campañas.
El proyecto Spider parece estar integrándose perfectamente. La relación entre los miembros del equipo original y sus nuevos compañeros era evidente a medida que la tripulación se reunía en el Craft Beer Co, un bar acogedor de Londres con una gigantesca barra de madera. El tipo de lugar en el que es fácil entrar pero difícil de dejar. Después de unas horas de conversación informal y más risas, los grupos se levantaron y se dirigieron a la cena. Al salir, un alto cargo de Google decisivo en la compra del proyecto Spider hizo una pausa para contarnos lo feliz que estaba con la operación realizada.
Desde que Jager se alejó del «lado oscuro», su equipo de chicos malos han crecido en un mundo mucho más sofisticado. El Malware, contaban, se utilizó en un inicio principalmente por fraude bancario, pero la autenticación de dos factores (por ejemplo, cuando un banco le pide un código de su teléfono móvil antes de que puedas iniciar sesión en tu equipo) redujo seriamente sus posibilidades de fraude. A continuación, los hackers se trasladaron al fraude de tarjetas de crédito, pero la seguridad en ese frente es ahora tan buena que puedes comprar miles de registros de tarjetas de crédito activas por unos pocos dólares, porque so se puede hacer absolutamente nada con ellos.
El siguiente sector donde decidieron intentarlo los defraudadores fue la minería de Bitcoin, donde se utilizaron máquinas hackeadas para desenterrar las monedas. Pero eso actividad también dejó de ser rentable por la el avance de la seguridad, dejando en estos momentos el fraude de anuncios como el esfuerzo más lucrativo que un ciberdelincuente puede llevar a cabo en la actualidad. «Estamos en un punto en el que el malware se utiliza principalmente para el fraude publicitario» contaba Jager. Palabras asustadizas para la industria de la publicidad digital, aunque lo único que intentan es hacernos conscientes de este problema contra el que se está trabajando.


Encontrando estafadores

Puerta secreta del equipo de GoogleAnalizar el código binario de un malware por primera vez es una experiencia inquietante. El programa de cifrado se parece a la mayor colección de galimatías indescifrable que una computadora podría escupir. Un nuevo miembro del equipo, Sebastián, se sentaba en frente de los monitores y se detuvo ante uno de los binarios, tratando de explicar cómo leer estas columnas, se trataba de una confusas línea parecida a «15 68 C8 58 00 10 57 8B».
El binario es el motor de los botnets, y su función es dar instrucciones a los ordenadores infectados sobre cómo y dónde navegar por la web. Les dice los sitios a visitar, cuánto tiempo se deben de quedar, qué hacer mientras están allí, y muchos más detalles para aparentar ser humanos. El equipo antifraude de Google obtiene estos trozos de código en bruto de un puñado de fuentes, incluyendo VirusTotal, una empresa de detección de malware que también adquirieron en 2012. A continuación, se ponen a realizar ingeniería inversa del código para aprender las características de cada botnet en particular.
El descifrado de los códigos binarios es un paso crucial en este proceso, lo que permite al equipo de Google leer las huellas digitales de los botnets. «Una vez que entendemos cómo funciona, se informa de sus características y rasgos con el fin de reconocerlo en cualquier sitio web o equipo. Así sabemos que si X, Y, Z se cumplen ese equipo o web están infectados por ese malware en particular.» decía Vegard Johnsen, gerente de producto.
Tenemos en la pantalla el código binario de un botnet específico, el cuál contiene 150 acciones u órdenes. Cada orden tiene el objetivo de imitar el comportamiento humano en la navegación web. Por ejemplo, indica a la computadora que cree una ventana oculta, para ello normalmente utiliza Internet Explorer, configura la ventana a pantalla completa, desactiva el sonido, le indica que navegue por sitios web con palabras clave específicas, mueve el ratón al azar y hace clic cada paquete de segundos. Este programa sólo contiene 150 órdenes relativamente simples; pero algunos botnets contienen más de 2.000.
Estos códigos consiguen tal nivel de perfección que realmente da la sensación de que hay personas reales navegando. «Existe alguien que pensó todo esto y escribió escribir el código», decía Johnsen. «Nosotros nos levantamos muchos días preguntándonos, ¿quién compone el equipo que equivale a nosotros sentados desde un verdadero calabozo oscuro con el fin de hacer un montón de pasta?.»
Nos podemos hacer una imagen aún más completa de los defraudadores mirando los tablones de anuncios donde se comunican. El equipo de Google supervisa estos foros, viendo como los malvados actores de Internet compran y venden computadoras y tráfico infectados. Durante la jornada de puertas abiertas, el equipo mostró la publicación de un intermediario que incluso incluyó el mensaje «Advertencia: estafadores-no molestar». Por supuesto, se refería a los que le querían defraudar a él, no a los estafadores de publicidad, la audiencia deseada.
Este mercado negro opera con su propio sistema. Hay un sistema de puntos de reputación y un depósito en garantía donde puede colocarse el dinero mientras que los bienes son entregados. «Hay un elemento de reconocimiento tras el gran esfuerzo que se dedica a este fraude», dijo Johnsen.
Sin embargo, los estafadores no nacieron siendo a prueba de balas. A diferencia de los robots de programan, ellos sí cometen errores, como el resto de los seres humanos. Y esos errores, a veces aparentemente pequeños e insignificantes, son los que permiten a Google identificar y neutralizar sus estafas.


Señales

Todas las largas discusiones sobre el fraude publicitario que mantienen el equipo de Google requieren un montón de café, para ello las famosas mini cocinas de Google son de una gran utilidad. Después de cada sesión en los equipos durante la jornada de puertas abiertas, algunas de las cuales duró casi dos horas, el equipo acudió corriendo a las máquinas de café, aprovechando la oportunidad para olvidarse por un momento de los píxeles y los números. Esta carga de pilas es necesaria antes de debatir y contarnos acerca de las complejas técnicas que el equipo utiliza para detectar el tráfico de los boots.
Cuando estos expertos terminan de realizar la ingeniería inversa, tienen en su poder un modelo de conducta detallado de ese botnet en concreto. Gracias a la enorme capacidad de computación y cálculo de los servidores de Google, ese modelo puede ser superpuesto mediante una capa en sus servidores para poder encontrar tráfico que coincida con estas pautas.
Como parte de este proceso, el equipo de Google suele utilizar dos factores distintos.
Por un lado el modelo de actuación ya encontrado de ese botnet en concreto, y por otro algo a lo que ellos llaman «señales». Estas señales son tipos de comportamiento del tráfico que no se producen exactamente igual de manera natural, como el porcentaje de clics, la tasa de conversión, el navegador utilizado y el tiempo medio que se tarda en hacer cada clic. Mostraron el funcionamiento de un botnet llamado por ellos como «z00clicker», su funcionamiento consiste en escoger dos puntos al azar en la página y moverse a lo largo de la línea, haciendo clic a lo largo de ese camino. El botnet, al analizar su comportamiento con las herramientas de Google, dejó un patrón distinto de clics en publicidad. Un mapa de clics realizado por tráfico de «z00clicker» muestra una increíble densidad en los bordes, y mucha menos acción en el centro.

Los indicios de las pautas de comportamiento de los botnets son muy útiles, pero cuando Google decide que un tráfico y sus clic no son humanos procede a tomar una dramática decisión: Negarse a pagar a la editorial que sirve el anuncio y no cobrarle al anunciante ni un céntimo. Para llegar a esto Google necesita algo más concluyente y por esto este tipo de «señales» son imprescindibles para complementar una detección más inteligente y con menos margen de error.
Una señal es un tipo de comportamiento que no existe en circunstancias normales, pero es disimuladamente creada por el estafador cuando programa el bot. «Nuestro trabajo es tratar de encontrar las pequeñas señales de que lamentablemente algún botnet se ha filtrado», dijo Jager. «De esta manera podremos identificar el tráfico que viene de las máquinas infectadas para esta carga en concreto.»
El equipo de Google fue particularmente cauteloso sobre la información que nos daba de estas señales, ya que la mayoría de ellas se están utilizando en estos momentos y podrían dar pistas a los estafadores sobre cómo evitar ser detectados. En esta jornada de puertas abiertas había ciertos límites, y éste era sin duda uno de ellos. 
De todos modos el equipo de Google enseñó algunos ejemplos de señales que creen son exclusivas de ZeroAccess, un botnet que Microsoft ayudó a eliminar en 2013, aunque recientemente ha vuelto a la vida. De forma natural, cuando restableces las cookies del navegador se obtiene un «0» en el campo. Pero por alguna razón, ZeroAccess inserta un carácter de espacio en ese campo. El botnet restablece las cookies en el navegador antes de cada sesión de navegación, por lo que muestra el espacio en blanco con bastante regularidad. Esta señal es suficiente para identificar el tráfico generado por ZeroAccess, pero a menudo Google requiere una serie de señales que muestran al mismo tiempo para decidir definitivamente que el tráfico es de una cierta red de bots y no se puede considerar como humano.


POWERDRILL

Cualquier fuerza del bien que quiera luchar contra el lado oscuro necesita su arma personal. Para Batman, es el Batmóvil. Para Frodo, el Anillo. Para los Jedis, por supuesto, sus sables láser. Para el equipo de Google, es PowerDrill.
PowerDrill es un sistema informático usados por estos bichos raros. Es capaz de procesar medio billon de células de datos en menos de cinco segundos (Traducción: Es jodidamente rápido). Y puede mostrar los datos como representaciones gráficas que permitan detectar las irregularidades del tráfico no humano.
Un miembro del equipo, Phil, se deslizó hasta los monitores y abrió la pantalla principal de PowerDrill mostrando un monstruo de tráfico que se origina casi en su totalidad a partir de cuatro direcciones IP y un sólo servidor web. El tráfico, que claramente procede de alguna entidad central, generó casi 100 millones de clics en los anuncios sólo en una de las redes de Google, todo esto en diez días. «Esto no es el tráfico real», explicaba Phil.
Esta franja de tráfico era tan grande que probablemente agotara los presupuestos de innumerables campañas publicitarias durante los 10 días medidos. «Esto tiene potencial como para inflar artificialmente el CPC de las campañas publicitarias de forma significativa en todos los ámbitos», señalaba Phil.

Los miembros del equipo de Google en la sede de Londres
Los miembros del equipo de Google en la sede de Londres.

Desconcertantemente, este tráfico ni siquiera era parte de un botnet. «Esta compañía» -Phil no quiso desvelar su nombre- «es en realidad un servicio de verificación de anuncios.» Lo que hace la empresa es ir a través de todas las páginas que encuentra, analiza tantos anuncios como le sea posible y accede a ellos para guardar la página de destino de cada anuncio. Aunque el servicio de verificación de Google ya permite identificar este tráfico como «no humano», otras empresas no lo están haciendo, y por lo tanto está pasando como tráfico humano, como legítimo, para ese montón de otras empresas de publicidad que aún no han identificado este tipo de tráfico.
Compartiendo este tipo de información con otras compañías se podría recorrer un largo camino hacia la eliminación del fraude de la industria de la publicidad y ahora Google parece dispuesto a hacerlo. Jager confirmó que su equipo está a punto de comenzar a publicar información detallada sobre tráfico fraudulento por primera vez en su historia, dando todo tipo de detalles.
Jager espera que todo este trabajo de Google inspire a otras empresas para lanzar sus propios departamentos antifraude, y que todos puedan colaborar para ayudar a acabar con él, a provocar que este tipo de fraude deje de ser rentable para los estafadores. «Nuestro trabajo es aumentar el costo para los estafadores y reducir la rentabilidad hasta el punto en que ellos lleguen a plantearse que quizás el fraude en la publicidad digital no es el mejor lugar para hacerse rico», contaba Jager.
El equipo de Google está haciendo un progreso significativo hacia ese objetivo que sin duda tiene gran dificultad. En la jornada de puertas abiertas se pudo ver en directo esa guerra contra los hackers en acción , y lo que se vio era el mejor plan para eliminar el problema de las docenas que se han planteado por cientos de empresas de seguridad. La guerra contra el fraude publicitario puede parecer frustrante debido a su opacidad, pero esta nueva filosofía de apertura y colaboración está permitiendo una mayor fuerza para acabar con él.
Jager tiene un plan para celebrar el día que llegue la victoria completa contra los estafadores. Bromeó con que podría tomar unas vacaciones e irse a la misma playa donde tal vez algunos de estos cibercriminales están tumbados en estos momentos.

Fuente original: Adage.com

Compartir

Share on twitter
Share on facebook
Share on linkedin

¿Quieres recibir nuestros nuevos artículos en tu correo electrónico?

SEMrush que es

SEMrush, qué es y para qué sirve

SEMrush es una de las herramientas más conocidas dentro de las estrategias de marketing digital, y se centra en la monitorización de nuestro proyecto así como en el estudio de la competencia a nive

Leer más

¿Quieres llegar a buen puerto?

Ningún viento es favorable para quien no sabe dónde va.

Y tú, ¿dónde quieres llegar? Construyamos juntos el barco que nos permitirá alcanzar tu puerto de destino. ¡Déjanos acompañarte!